BA网络策略-CKA

Question

如果我们在一个名称空间中创建了一个用于例如应用程序空间，荚名: busybox的名称，如果该名称空间上没有任何标签，那么我们可以应用网络策略吗？

​

在黄色中突出显示的命名空间选择器字段是如何工作的？

这是否意味着任何带有标签project=myproject的荚只能在该名称空间中被允许？

Answer 1

netpol有两个使用标签选择器的地方。

1. .spec.podselector.MatchLabels

在上面的例子中，标签选择器是。role=db

该选择器确定netpol将被应用到哪个吊舱。另外，请记住，netpol是一个名称空间对象(您可以通过执行kubectl resources来检查它)。因此，由于metadata.namespace的值是默认的，此策略将适用于默认名称空间中具有labe=db的任何pod。

2)。spec.ingress*.namespaceSelector.matchLabels中的可选命名空间选择器

在示例中，您将显示这是project=myproject。(这可能在as spec.egress*.namespaceSelector.matchLabels的出口一侧)

这个标签选择器意味着从谁允许流量(对于入口示例)

因此，在上面的示例中，允许使用标签为project=myproject的命名空间

记住，你也可以给ns贴上标签。

例如: kubectl标签ns项目project=myproject

这样，ns项目的yaml将如下所示：

apiVersion: v1
kind: Namespace
metadata:
 name: project
 labels:
   project: myproject